Пример фильтрации пакетов
Для того чтобы понять концепцию использования маршрутизатором функции фильтрации пакетов представим запертую дверь, на которой висит предупредительная табличка. Согласно этой табличке, в дверь могут войти только те, чьи имена перечислены в списке. Таким образом, предупредительная табличка фильтрует людей по критерию наличия их имён в списке авторизованных лиц. По аналогичной схеме работает ACL-список — все решения принимаются на основе установленных критериев.
Например, ACL-список может быть настроен логически: «Разрешить веб-доступ к пользователям сети А, но запретить все остальные службы для пользователей сети А. Запретить доступ к протоколу HTTP пользователям сети B, но разрешить пользователям сети B доступ ко всем остальным службам». Обратитесь к рисунку для изучения пути принятия решения о фильтрации пакета для выполнения этой задачи.
В рамках данного сценария фильтр пакетов оценивает каждый пакет, исходя из следующих условий:
- Если пакетом является пакет TCP SYN из сети А, использующий порт 80, то пересылка разрешена. Весь остальной доступ этим пользователям запрещён.
- Если пакетом является пакет TCP SYN из сети B, использующий порт 80, то пересылка запрещена. Однако все другие виды доступа разрешены.
Это лишь простой пример. Для разрешения или запрета службы определённым пользователям можно настроить множество правил.